CN103825739A - 授权可撤销的有向代理签名方法 - Google Patents

Abstract

本发明公开了一种授权可撤销的有向代理签名方法，用于解决现有可撤销代理签名方法安全性差的技术问题。技术方案是包括系统建立过程、密钥提取过程、原始签名者的授权过程、授权验证过程、代理签名生成过程、代理签名验证过程、签名公开验证过程以及代理撤销过程。该方法由安全中介SEM负责验证授权和协助代理签名者生成代理签名。安全中介SEM检查签名是否在有效代理期限中，代理签名者是否在公开撤销列表中，验证有效，安全中介SEM为代理签名者发送由安全中介SEM得到的部分代理签名，代理签名者借助安全中介SEM的部分代理签名生成代理签名。反之，安全中介SEM不会为代理签名者提供部分代理签名，提高了可撤销代理签名的安全性。

Description

授权可撤销的有向代理签名方法

技术领域

本发明涉及一种可撤销代理签名方法，特别是涉及一种授权可撤销的有向代理签名方法。

背景技术

随着计算机和网络通信技术的发展，数字签名技术已得到了广泛的应用。而在电子商务、移动代理和移动通信中，原始签名者经常因为某些原因不方便签名，需要将签名权利委托给代理签名者，由代理签名者代为签名，代理签名因此被提出。代理签名系统包括原始签名者、代理签名者、签名验证者三个实体，由代理签名者代替原始签名者生成代理签名，签名验证者需要验证代理签名和授权的有效性。

文献“Directed Proxy Signature in the Standard Model.Journal of Shanghai JiaotongUniversity,2011,16(6):663-671.”提出了标准模型下的有向代理签名方法，该方法适合待签名消息对于签名验证者来说是敏感信息的应用场景，如税单、病历等。该方法的主要步骤是：第一，建立并公开系统公共参数，同时生成参与者，包括原始签名者、代理签名者及签名验证者的公私钥；第二，原始签名者生成代理签名者的授权私钥，并发送给代理签名者；第三，代理签名者对授权私钥与待签名消息加密生成代理签名；第四，签名验证者验证授权与代理签名的有效性；第五，公开验证判断代理签名者或者签名验证者是否能向仲裁验证代理签名的有效性。在该方法中，只有签名验证者可直接验证代理签名的有效性，而仲裁不知道代理签名的有效性，因此信息不会泄露。必要时，代理签名者或者签名验证者向仲裁证明代理签名的有效性。但是，像现有代理签名方法一样，该方法存在一些缺陷：第一，在委任状中规定的有效代理期限、代理次数等限制在签名过程中根本没有发挥作用，签名验证者无法确定代理签名是什么时候产生的；第二，在代理签名者滥用授权或者代理签名密钥丢失，需要在有效代理期限结束前撤销对该代理签名者的授权时，原始签名者无能为力。

发明内容

为了克服现有可撤销代理签名方法安全性差的不足，本发明提供一种授权可撤销的有向代理签名方法。该方法包括系统建立过程、密钥提取过程、原始签名者的授权过程、授权验证过程、代理签名生成过程、代理签名验证过程、签名公开验证过程以及代理撤销过程。本发明引入安全中介SEM实现授权的撤销，安全中介SEM负责验证授权和协助代理签名者生成代理签名。在验证授权时，安全中介SEM检查签名是否在有效代理期限中，代理签名者是否在公开撤销列表中，如验证是有效的，安全中介SEM为代理签名者发送由安全中介SEM计算得到的部分代理签名，代理签名者借助安全中介SEM产生部分代理签名生成代理签名。反之，安全中介SEM不会为代理签名者提供部分代理签名，则代理签名者无法得到一个有效的代理签名。若一个代理签名不是在有效代理期限中产生的，那么代理签名者无法说明该签名是在有效代理期限中生成的。同时，通过由安全中介SEM是否对代理签名者提供部分代理签名实现快速撤销。若原始签名者因为某些原因需要提前撤销代理签名者的授权时，只需通知由安全中介SEM不协助代理签名者产生代理签名即可。

本发明解决其技术问题所采用的技术方案是：一种授权可撤销的有向代理签名方法，其特点是包括以下步骤：

(1)系统建立过程。

密钥生成中心KGC根据安全参数l选取一个大素数p，其中p>2^l，构造一个p阶加法循环群G₁和p阶乘法循环群G₂，构造一个双线性映射e:G₁×G₁→G₂，从p阶加法循环群G₁中选取生成元g，从p阶加法循环群G₁中随机选取g₁，u′，v′，u₁,u₂,…,u_n，v₁,v₂,…,v_n，构造向量u=(u₁,u₂,…,u_n)和v=(v₁,v₂,…,v_n)，n为待签名消息m的长度。

密钥生成中心KGC构造并公开系统公共参数π，π构造方法为：

π＝(G₁,G₂,e,p,g,g₁,u′,v′,u,v)

(2)密钥提取过程。

原始签名者A随机选择整数x_A∈Z_p，得到原始签名者A的私钥sk_A=x_A；代理签名者B随机选择整数x_B∈Z_p，得到代理签名者B的私钥sk_B=x_B；签名验证者C随机选择整数x_C∈Z_p，得到签名验证者C的私钥sk_C=x_C，并将私钥信息向密钥生成中心KGC提交。密钥生成中心KGC根据系统公共参数π和原始签名者A，代理签名者B和签名验证者C的私钥分别计算并公开原始签名者A的公钥

代理签名者B的公钥和签名验证者C的公钥

其中，Z_p为不超过大素数p的正整数集合。

(3)原始签名者的授权过程。

3a)原始签名者A随机选择两个整数x_A1,x_A2∈Z_p，使得x_A1+x_A2=x_A，同时随机选择两个整数r_A1,r_A2∈Z_p，并计算整数r_A=r_A1+r_A2和代理签名者B的身份

其中x_A=sk_A，sk_A为原始签名者A的私钥，Z_p为不超过大素数p的正整数集合，g为由密钥生成中心KGC选取的p阶加法循环群G₁的生成元。

3b)原始签名者A计算代理签名者B的部分授权密钥σ_B和安全中介SEM的部分授权密钥σ_S，然后，向代理签名者B发送代理签名者B的部分授权密钥σ_B，同时向安全中介SEM发送安全中介SEM的部分授权私钥σ_S。σ_B和σ_S的计算方法如下：

${\mathrm{\σ}}_B=({\mathrm{\σ}}_{B1},{\mathrm{\σ}}_{B2})=(g_1^{x_{A1}}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_{A1}},g^{r_{A1}})$

${\mathrm{\σ}}_S=({\mathrm{\σ}}_{S1},{\mathrm{\σ}}_{S2})=(g_1^{x_{A2}}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_{A2}},g^{r_{A2}})$

其中，g₁、u′和u₁,u₂,…,u_n为密钥生成中心KGC选取的p阶加法循环群G₁中的元素，W={i|ω_i=1,i=1,2,…,n}为委任状ω中元素不为0的下标集合，n为待签名消息m的长度，σ_B1和σ_B2分别为代理签名者B的部分授权密钥σ_B的第一部分和第二部分，σ_S1和σ_S2分别为安全中介SEM的部分授权密钥σ_S的第一部分和第二部分。

3c)原始签名者A向代理签名者B发送ω,σ_B和R_A，同时向安全中介SEM发送ω,σ_S和R_A。

(4)授权验证过程。

代理签名者B和安全中介SEM联合验证授权的有效性，首先代理签名者B计算R_B=e(σ_B1,g)，并向安全中介SEM发送ω和R_B，同时安全中介SEM计算R_S=e(σ_S1,g)，并向代理签名者B发送ω和R_S。代理签名者B与安全中介SEM验证等式

是否成立。若不成立，代理签名者B与安全中介SEM要求原始签名者A重新发送授权。若成立，代理签名者B代替原始签名者A进行签名，执行代理签名的生成过程。

其中，pk_A是原始签名者A的公钥，e为密钥生成中心KGC选取的G₁和G₂上的双线性变换，G₁为密钥生成中心KGC选取的p阶加法循环群，G₂为密钥生成中心KGC选取的p阶乘法循环群。

(5)代理签名生成过程。

5a)代理签名者B向安全中介SEM发送ω,m,R_A和R_B，安全中介SEM检查ω,m,R_A和R_B是否与步骤3c)和步骤(4)收到的ω,m,R_A和R_B完全相同。如果不完全相同，安全中介SEM不为代理签名者B生成部分代理签名。如果完全相同，安全中介SEM检验下面的两个条件是否成立：第一，授权是否在委任状ω规定的有效代理期限内；第二，ω和R_A是否在公开撤销列表中。若授权在委任状ω规定的有效代理期限内且ω和R_A均不在公开撤销列表中，安全中介SEM向代理签名者B提供部分代理签名。否则，安全中介SEM不为代理签名者B提供部分代理签名。

其中，m是待签名消息。

5b)安全中介SEM协助代理签名者B产生代理签名。首先，安全中介SEM随机选取两个整数r_S,r_M∈Z_p，计算部分代理签名σ_PS如下：

${\mathrm{\σ}}_{\mathrm{PS}}=({\mathrm{\σ}}_{\mathrm{PS}1},{\mathrm{\σ}}_{\mathrm{PS}2},{\mathrm{\σ}}_{\mathrm{PS}3})=(g_1^{x_{A2}}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{{r_S+r}_{A2}}{\left(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j\right)}^{r_M},g^{r_S},g^{r_M})$

同时，安全中介SEM将部分代理签名σ_PS发给代理签名者B。

其中，v′和v₁,v₂,…,v_n是由密钥生成中心KGC选取的p阶加法循环群G₁中的元素，M={i|m_i=1,i=1,2,…,n}为待签名消息m中元素不为0的下标集合，σ_PS1，σ_PS2和σ_PS3分别为部分代理签名σ_PS的第一部分、第二部分和第三部分。

5c)代理签名者B收到安全中介SEM产生的部分代理签名σ_PS，首先检查下式是否成立

$e({\mathrm{\σ}}_{\mathrm{PS}1},g)R_B=e(g_1,{\mathrm{pk}}_A)e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,{\mathrm{\σ}}_{\mathrm{PS}2}{R}_A)e(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j,{\mathrm{\σ}}_{\mathrm{PS}3})$

若不成立，则代理签名者B不产生代理签名。

若成立，则代理签名者B生成代理签名：首先随机选择两个整数r_B,r′_M∈Z_p，计算：

${\mathrm{\σ}}_1=\left({\mathrm{\σ}}_{\mathrm{PS}2}{g}^{r_B}{R}_A\right)\⊕{(g_1,{\mathrm{pk}}_C)}^{r_M+r_M^{\′}}$

${\mathrm{\σ}}_2={\mathrm{\σ}}_{\mathrm{PS}3}{g}^{r_M^{\′}}$

${\mathrm{\σ}}_3=g_1^{x_B}{\mathrm{\σ}}_{\mathrm{PS}1}{\mathrm{\σ}}_{B1}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_B}{\left(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j\right)}^{r_M^{\′}}$

其中，x_B=sk_B，sk_B为代理签名者B的私钥，pk_C为签名验证者C的公钥，σ₁、σ₂和σ₃分别为代理签名σ的第一部分、第二部分和第三部分。

代理签名为σ=(σ₁,σ₂,σ₃)。代理签名者B向签名验证者C发送σ,ω和m。

(6)代理签名验证过程。

当签名验证者C得到σ,ω和m之后，验证代理签名的有效性。首先利用代理签名σ计算辅助信息

然后验证下面等式是否成立：

$e({\mathrm{\σ}}_3,g)=e(g_1,{\mathrm{pk}}_A)e(g_1,{\mathrm{pk}}_B)e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,\mathrm{\θ})e(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j,{\mathrm{\σ}}_2)$

其中，x_C=sk_C，sk_C为签名验证者C的私钥，pk_B为代理签名者B的公钥。

若成立，则代理签名是有效的，否则，代理签名无效。

(7)签名公开验证过程。

代理签名者B或者签名验证者C向仲裁验证代理签名的有效性。首先代理签名者B或者签名验证者C计算辅助信息

然后代理签名者B与签名验证者C向仲裁发送代理签名σ和θ。仲裁利用代理签名σ和辅助信息θ，通过下式验证代理签名的有效性：

$e({\mathrm{\σ}}_3,g)=e(g_1,{\mathrm{pk}}_A)e(g_1,{\mathrm{pk}}_B)e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,\mathrm{\θ})e(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j,{\mathrm{\σ}}_2)$

若成立，则说明签名验证者C和代理签名者B成功地向仲裁证明了代理签名的有效性。若不成立，说明签名验证者C与代理签名者B不能向仲裁证明代理签名的有效性，代理签名是无效的。

(8)授权撤销过程。

当原始签名者A需要撤销对代理签名者B的授权时，原始签名者A向安全中介SEM发送ω和R_A，并要求安全中介SEM将ω和R_A放入公开撤销列表。

本发明的有益效果是：该方法引入安全中介SEM实现授权的撤销，安全中介SEM负责验证授权和协助代理签名者生成代理签名。在验证授权时，安全中介SEM检查签名是否在有效代理期限中，代理签名者是否在公开撤销列表中，如验证是有效的，安全中介SEM为代理签名者发送由安全中介SEM计算得到的部分代理签名，代理签名者借助安全中介SEM产生部分代理签名生成代理签名。反之，安全中介SEM不会为代理签名者提供部分代理签名，则代理签名者无法得到一个有效的代理签名。若一个代理签名不是在有效代理期限中产生的，那么代理签名者无法说明该签名是在有效代理期限中生成的。同时，通过由安全中介SEM是否对代理签名者提供部分代理签名实现快速撤销。若原始签名者因为某些原因需要提前撤销代理签名者的授权时，只需通知由安全中介SEM不协助代理签名者产生代理签名即可，提高了可撤销代理签名的安全性。

下面结合具体实施方式对本发明作详细说明。

具体实施方式

本发明授权可撤销的有向代理签名方法具体步骤如下：

名词解释

SEM：安全中介，Security Mediator；

KGC：密钥生成中心，Key Generation Center，负责生成原始签名者A、代理签名者B和签名验证者C的公钥；

A：原始签名者；

B：代理签名者；

C：签名验证者；

sk_A：原始签名者A的私钥；

sk_B：代理签名者B的私钥；

sk_C：签名验证者C的私钥；

pk_A：原始签名者A的公钥；

pk_B：代理签名者B的公钥；

pk_C：签名验证者C的公钥

π：系统公共参数；

l：密钥生成中心KGC选取的系统安全参数；

p：密钥生成中心KGC选取的大素数，满足p>2^l；

Z_p：不超过大素数p的正整数集合；

G₁：密钥生成中心KGC选取的p阶加法循环群；

G₂：密钥生成中心KGC选取的p阶乘法循环群；

e：密钥生成中心KGC选取的G₁和G₂上的双线性变换，即e:G₁×G₁→G₂；

g：p阶加法循环群G₁的生成元，由密钥生成中心KGC选取；

g₁：p阶加法循环群G₁中的元素，由密钥生成中心KGC选取；

m：待签名消息，长度为n，表示为m=(m₁,m₂,…,m_n)；

M：待签名消息m中元素不为0的下标集合，即M={i|m_i=1,i=1,2,…,n}；

ω：委任状，包括有效代理期限，待签名消息类型，原始签名者A和代理签名者B的身份等信息，表示为ω={ω₁,ω₂,…,ω_n}；

W：委任状ω中元素不为0的下标集合，即W={i|ω_i=1,i=1,2,…,n}；

u′：p阶加法循环群G₁中的元素，由密钥生成中心KGC选取；

u：由u₁，u₂，…，u_n组成的向量，即u=(u₁,u₂,…,u_n)，u_i是由密钥生成中心KGC随机选取的p阶加法循环群G₁中的元素，其中i={1,2,…,n}；

v′：p阶加法循环群G₁中的元素，由密钥生成中心KGC选取；

v：由v₁，v₂，…，v_n组成的向量，即v=(v₁,v₂,…,v_n)，v_i是由密钥生成中心KGC随机选取的阶加法循环群G₁中的元素，其中i={1,2,…,n}；

R_A：原始签名者A赋予代理签名者B的身份信息；

R_B：p阶乘法循环群G₂中的元素，由代理签名者B计算e(σ_B1,g)计算得到；

R_S：p阶乘法循环群G₂中的元素，由安全中介SEM计算e(σ_S1,g)计算得到；

σ_B：代理签名者B的部分授权密钥，由原始签名者A产生，包含σ_B1和σ_B2两个部分；

σ_S：安全中介SEM的部分授权密钥，由原始签名者A产生，包含σ_S1和σ_S2两个部分；

σ_PS：由安全中介SEM生成的部分代理签名，包含σ_PS1，σ_PS2和σ_PS3三个部分；

σ：代理签名者B生成的代理签名；包含σ₁，σ₂和σ₃三个部分；

：逐位异或运算符。

步骤1、系统建立过程。

密钥生成中心KGC根据安全参数l选取一个大素数p，其中p>2^l，构造一个p阶加法循环群G₁和p阶乘法循环群G₂，构造一个双线性映射e:G₁×G₁→G₂，从p阶加法循环群G₁中选取生成元g，从p阶加法循环群G₁中随机选取g₁，u′，v′，u₁,u₂,…,u_n，v₁,v₂,…,v_n，构造向量u=(u₁,u₂,…,u_n)和v=(v₁,v₂,…,v_n)，n为待签名消息m的长度。

密钥生成中心KGC构造并公开系统公共参数π，π构造方法为：

π＝(G₁,G₂,e,p,g,g₁,u′,v′,u,v)

步骤2、密钥提取过程。

原始签名者A随机选择整数x_A∈Z_p，得到原始签名者A的私钥sk_A=x_A；代理签名者B随机选择整数x_B∈Z_p，得到代理签名者B的私钥sk_B=x_B；签名验证者C随机选择整数x_C∈Z_p，得到签名验证者C的私钥sk_C=x_C，并将私钥信息向密钥生成中心KGC提交。密钥生成中心KGC根据系统公共参数π和原始签名者A，代理签名者B和签名验证者C的私钥分别计算并公开原始签名者A的公钥

代理签名者B的公钥

和签名验证者C的公钥

其中，Z_p为不超过大素数p的正整数集合。

步骤3、原始签名者的授权过程。

原始签名者A随机选择两个整数x_A1,x_A2∈Z_p，使得x_A1+x_A2=x_A，同时选择两个整数r_A1,r_A2∈Z_p，并计算整数r_A=r_A1+r_A2和代理签名者B的身份

原始签名者A计算代理签名者B的部分授权密钥σ_B和安全中介SEM的部分授权密钥σ_S，然后，向代理签名者B发送代理签名者B的部分授权私钥σ_B，同时向安全中介SEM发送安全中介SEM的部分授权私钥σ_S。σ_B和σ_S的计算方法如下：

${\mathrm{\σ}}_B=({\mathrm{\σ}}_{B1},{\mathrm{\σ}}_{B2})=(g_1^{x_{A1}}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_{A1}},g^{r_{A1}})$

${\mathrm{\σ}}_S=({\mathrm{\σ}}_{S1},{\mathrm{\σ}}_{S2})=(g_1^{x_{A2}}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_{A2}},g^{r_{A2}})$

其中W={i|ω_i=1,i=1,2,…,n}为委任状ω中元素不为0的下标集合，σ_B1和σ_B2分别为代理签名者B的部分授权密钥σ_B的第一部分和第二部分，σ_S1和σ_S2分别为安全中介SEM的部分授权密钥σ_S的第一部分和第二部分。

原始签名者A向代理签名者B发送ω,σ_B和R_A，同时向安全中介SEM发送ω,σ_S和R_A。

步骤4、授权验证过程。

代理签名者B和安全中介SEM联合验证授权的有效性，首先代理签名者B计算R_B=e(σ_B1,g)，并向安全中介SEM发送ω和R_B，同时安全中介SEM计算R_S=e(σ_S1,g)，并向代理签名者B发送ω和R_S。代理签名者B与安全中介SEM验证等式

是否成立。若不成立，代理签名者B和安全中介SEM要求原始签名者A重新发送授权。若成立，则代理签名者B代替原始签名者A签名，执行代理签名生成过程。

步骤5、代理签名生成过程。

首先，代理签名者B向安全中介SEM发送ω,m,R_A和R_B，安全中介SEM检查ω,m,R_A和R_B是否与步骤3和步骤4收到的ω,m,R_A和R_B完全相同。如果不完全相同，安全中介SEM不向代理签名者B提供部分代理签名。如果完全相同，安全中介SEM检验下面的两个条件是否成立：第一，授权是否在委任状ω规定的有效代理期限内；第二，ω和R_A是否在公开撤销列表中。若授权在委任状ω规定的有效代理期限内且ω和R_A均不在公开撤销列表中，安全中介SEM才向代理签名者B提供部分代理签名。否则，安全中介SEM不会生成部分代理签名。

安全中介SEM协助代理签名者B生成代理签名：首先，安全中介SEM随机选取两个整数r_S,r_M∈Z_p，计算部分代理签名σ_PS：

$\begin{array}{c}{\mathrm{\σ}}_{\mathrm{PS}}=({\mathrm{\σ}}_{\mathrm{PS}1},{\mathrm{\σ}}_{\mathrm{PS}2},{\mathrm{\σ}}_{\mathrm{PS}3})=({\mathrm{\σ}}_{S1}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_S}{\left(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j\right)}^{r_M},g^{r_S},g^{r_M})\\ =(g_1^{x_{A2}}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_S+r_{A2}}{\left(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j\right)}^{r_M},g^{r_S},g^{r_M})\end{array}$

同时，安全中介SEM将部分代理签名σ_PS发给代理签名者B。

其中，M={i|m_i=1,i=1,2,…,n}为待签名消息m中元素不为0的下标集合，σ_PS1、σ_PS2和σ_PS3分别为部分代理签名σ_PS的第一部分、第二部分和第三部分。

代理签名者B收到安全中介SEM发送的部分代理签名σ_PS后，首先验证部分代理签名的有效性：

$e({\mathrm{\σ}}_{\mathrm{PS}1},g)R_B=e(g_1,{\mathrm{pk}}_A)e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,{\mathrm{\σ}}_{\mathrm{PS}2}{R}_A)e(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j,{\mathrm{\σ}}_{\mathrm{PS}3})$

若不成立，则代理签名者B不生成代理签名。

若成立，则代理签名者B生成代理签名：首先随机选择两个整数r_B,r′_M∈Z_p，计算：

${\mathrm{\σ}}_1=\left({\mathrm{\σ}}_{\mathrm{PS}2}{g}^{r_B}{R}_A\right)\⊕{(g_1,{\mathrm{pk}}_C)}^{r_M+r_M^{\′}}$

${\mathrm{\σ}}_2={\mathrm{\σ}}_{\mathrm{PS}3}{g}^{r_M^{\′}}$

${\mathrm{\σ}}_3=g_1^{x_B}{\mathrm{\σ}}_{\mathrm{PS}1}{\mathrm{\σ}}_{B1}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_B}{\left(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j\right)}^{r_M^{\′}}$

其中，σ₁,σ₂和σ₃分别是代理签名σ第一部分，第二部分和第三部分，为逐位异或运算符。

因此，代理签名为σ=(σ₁,σ₂,σ₃)。代理签名者B向签名验证者C发送σ,ω和m。

步骤6、代理签名验证过程。

当签名验证者C得到σ，ω和m之后，验证代理签名的有效性。首先利用代理签名σ计算辅助信息

然后验证下式是否成立，

$e({\mathrm{\σ}}_3,g)=e(g_1,{\mathrm{pk}}_A)e(g_1,{\mathrm{pk}}_B)e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,\mathrm{\θ})e(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j,{\mathrm{\σ}}_2)$

若成立，则代理签名是有效的，否则，代理签名无效。

步骤7、签名公开验证过程。

本发明中不仅需要签名验证者C自身验证代理签名的有效性，还需代理签名者B和签名验证者C向仲裁证明代理签名的有效性。为了向仲裁验证代理签名的有效性，首先代理签名者B或者签名验证者C计算辅助信息θ，然后代理签名者B或者签名验证者C向仲裁发送代理签名σ和辅助信息θ，仲裁利用代理签名σ和辅助信息θ，通过验证下式是否成立来验证代理签名的有效性：

$e({\mathrm{\σ}}_3,g)=e(g_1,{\mathrm{pk}}_A)e(g_1,{\mathrm{pk}}_B)e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,\mathrm{\θ})e(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j,{\mathrm{\σ}}_2)$

若成立，则说明签名验证者C和代理签名者B可向仲裁说明代理签名的有效性。若不成立，说明签名验证者C与代理签名者B不能向仲裁证明代理签名σ的有效性，该代理签名是无效的。

步骤8、代理撤销过程。

原始签名者A可提前撤销对代理签名者B的授权。具体做法是，原始签名者A通知安全中介SEM将代理签名者B对应的ω和R_A放在公开撤销列表中，当该代理签名者B向安全中介SEM请求帮助时，安全中介SEM首先检查代理授权日期是否过期以及检查对应的ω和R_A是否在撤销列表中，只有两个条件都符合，安全中介SEM才会为代理签名者B提供部分代理签名。一旦安全中介SEM发现有效代理期限过期，将代理签名者B对应的ω和R_A去掉，以免造成公开撤销列表长度的增加。

本发明与现有方案相比具有如下优点：

第一，本发明适用于给定签名消息对签名验证者C敏感的情形，例如病历、税单等。在该发明中，只有签名验证者C才能验证签名。必要时，签名验证者C和代理签名者B向仲裁证明代理签名的有效性，同时实现有向代理签名的授权撤销问题。

第二，本发明利用安全中介SEM实现对有向代理签名中代理签名者B授权的快速撤销问题。解决代理签名者B对授权的滥用问题，授权证书中有效的有效代理期限无用的问题。该发明实现对代理签名者B授权撤销的同时，并没有影响有向代理签名的其他性质实现。

Claims (1)

1.一种授权可撤销的有向代理签名方法，其特征在于包括以下步骤：

(1)系统建立过程；

密钥生成中心KGC根据安全参数l选取一个大素数p，其中p>2^l，构造一个p阶加法循环群G₁和p阶乘法循环群G₂，构造一个双线性映射e:G₁×G₁→G₂，从p阶加法循环群G₁中选取生成元g，从p阶加法循环群G₁中随机选取g₁，u′，v′，u₁,u₂,…,u_n，v₁,v₂,…,v_n，构造向量u=(u₁,u₂,…,u_n)和v=(v₁,v₂,…,v_n)，n为待签名消息m的长度；

密钥生成中心KGC构造并公开系统公共参数π，π构造方法为：

π＝(G₁,G₂,e,p,g,g₁,u′,v′,u,v)

(2)密钥提取过程；

原始签名者A随机选择整数x_A∈Z_p，得到原始签名者A的私钥sk_A=x_A；代理签名者B随机选择整数x_B∈Z_p，得到代理签名者B的私钥sk_B=x_B；签名验证者C随机选择整数x_C∈Z_p，得到签名验证者C的私钥sk_C=x_C，并将私钥信息向密钥生成中心KGC提交；密钥生成中心KGC根据系统公共参数π和原始签名者A，代理签名者B和签名验证者C的私钥分别计算并公开原始签名者A的公钥

代理签名者B的公钥和签名验证者C的公钥

其中，Z_p为不超过大素数p的正整数集合；

(3)原始签名者的授权过程；

3a)原始签名者A随机选择两个整数x_A1,x_A2∈Z_p，使得x_A1+x_A2=x_A，同时随机选择两个整数r_A1,r_A2∈Z_p，并计算整数r_A=r_A1+r_A2和代理签名者B的身份

其中x_A=sk_A，sk_A为原始签名者A的私钥，Z_p为不超过大素数p的正整数集合，g为由密钥生成中心KGC选取的p阶加法循环群G₁的生成元；

3b)原始签名者A计算代理签名者B的部分授权密钥σ_B和安全中介SEM的部分授权密钥σ_S，然后，向代理签名者B发送代理签名者B的部分授权密钥σ_B，同时向安全中介SEM发送安全中介SEM的部分授权私钥σ_S；σ_B和σ_S的计算方法如下：

${\mathrm{\σ}}_B=({\mathrm{\σ}}_{B1},{\mathrm{\σ}}_{B2})=(g_1^{x_{A1}}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_{A1}},g^{r_{A1}})$

${\mathrm{\σ}}_S=({\mathrm{\σ}}_{S1},{\mathrm{\σ}}_{S2})=(g_1^{x_{A2}}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_{A2}},g^{r_{A2}})$

其中，g₁、u′和u₁,u₂,…,u_n为密钥生成中心KGC选取的p阶加法循环群G₁中的元素，W={i|ω_i=1,i=1,2,…,n}为委任状ω中元素不为0的下标集合，n为待签名消息m的长度，σ_B1和σ_B2分别为代理签名者B的部分授权密钥σ_B的第一部分和第二部分，σ_S1和σ_S2分别为安全中介SEM的部分授权密钥σ_S的第一部分和第二部分；

3c)原始签名者A向代理签名者B发送ω,σ_B和R_A，同时向安全中介SEM发送ω,σ_S和R_A；

(4)授权验证过程；

代理签名者B和安全中介SEM联合验证授权的有效性，首先代理签名者B计算R_B=e(σ_B1,g)，并向安全中介SEM发送ω和R_B，同时安全中介SEM计算R_S=e(σ_S1,g)，并向代理签名者B发送ω和R_S；代理签名者B与安全中介SEM验证等式

是否成立；若不成立，代理签名者B与安全中介SEM要求原始签名者A重新发送授权；若成立，代理签名者B代替原始签名者A进行签名，执行代理签名的生成过程；

其中，pk_A是原始签名者A的公钥，e为密钥生成中心KGC选取的G₁和G₂上的双线性变换，G₁为密钥生成中心KGC选取的p阶加法循环群，G₂为密钥生成中心KGC选取的p阶乘法循环群；

(5)代理签名生成过程；

5a)代理签名者B向安全中介SEM发送ω,m,R_A和R_B，安全中介SEM检查ω,m,R_A和R_B是否与步骤3c)和步骤(4)收到的ω,m,R_A和R_B完全相同；如果不完全相同，安全中介SEM不为代理签名者B生成部分代理签名；如果完全相同，安全中介SEM检验下面的两个条件是否成立：第一，授权是否在委任状ω规定的有效代理期限内；第二，ω和R_A是否在公开撤销列表中；若授权在委任状ω规定的有效代理期限内且ω和R_A均不在公开撤销列表中，安全中介SEM向代理签名者B提供部分代理签名；否则，安全中介SEM不为代理签名者B提供部分代理签名；

其中，m是待签名消息；

5b)安全中介SEM协助代理签名者B产生代理签名；首先，安全中介SEM随机选取两个整数r_S,r_M∈Z_p，计算部分代理签名σ_PS如下：

${\mathrm{\σ}}_{\mathrm{PS}}=({\mathrm{\σ}}_{\mathrm{PS}1},{\mathrm{\σ}}_{\mathrm{PS}2},{\mathrm{\σ}}_{\mathrm{PS}3})=(g_1^{x_{A2}}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{{r_S+r}_{A2}}{\left(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j\right)}^{r_M},g^{r_S},g^{r_M})$

同时，安全中介SEM将部分代理签名σ_PS发给代理签名者B；

其中，v′和v₁,v₂,…,v_n是由密钥生成中心KGC选取的p阶加法循环群G₁中的元素，M={i|m_i=1,i=1,2,…,n}为待签名消息m中元素不为0的下标集合，σ_PS1，σ_PS2和σ_PS3分别为部分代理签名σ_PS的第一部分、第二部分和第三部分；

5c)代理签名者B收到安全中介SEM产生的部分代理签名σ_PS，首先检查下式是否成立

$e({\mathrm{\σ}}_{\mathrm{PS}1},g)R_B=e(g_1,{\mathrm{pk}}_A)e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,{\mathrm{\σ}}_{\mathrm{PS}2}{R}_A)e(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j,{\mathrm{\σ}}_{\mathrm{PS}3})$

若不成立，则代理签名者B不产生代理签名；

若成立，则代理签名者B生成代理签名：首先随机选择两个整数r_B,r′_M∈Z_p，计算：

${\mathrm{\σ}}_1=\left({\mathrm{\σ}}_{\mathrm{PS}2}{g}^{r_B}{R}_A\right)\⊕{(g_1,{\mathrm{pk}}_C)}^{r_M+r_M^{\′}}$

${\mathrm{\σ}}_2={\mathrm{\σ}}_{\mathrm{PS}3}{g}^{r_M^{\′}}$

${\mathrm{\σ}}_3=g_1^{x_B}{\mathrm{\σ}}_{\mathrm{PS}1}{\mathrm{\σ}}_{B1}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_B}{\left(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j\right)}^{r_M^{\′}}$

其中，x_B=sk_B，sk_B为代理签名者B的私钥，pk_C为签名验证者C的公钥，σ₁、σ₂和σ₃分别为代理签名σ的第一部分、第二部分和第三部分；

代理签名为σ=(σ₁,σ₂,σ₃)；代理签名者B向签名验证者C发送σ,ω和m；

(6)代理签名验证过程；

当签名验证者C得到σ,ω和m之后，验证代理签名的有效性；首先利用代理签名σ计算辅助信息

然后验证下面等式是否成立：

$e({\mathrm{\σ}}_3,g)=e(g_1,{\mathrm{pk}}_A)e(g_1,{\mathrm{pk}}_B)e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,\mathrm{\θ})e(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j,{\mathrm{\σ}}_2)$

其中，x_C=sk_C，sk_C为签名验证者C的私钥，pk_B为代理签名者B的公钥；

若成立，则代理签名是有效的，否则，代理签名无效；

(7)签名公开验证过程；

代理签名者B或者签名验证者C向仲裁验证代理签名的有效性；首先代理签名者B或者签名验证者C计算辅助信息

然后代理签名者B与签名验证者C向仲裁发送代理签名σ和θ；仲裁利用代理签名σ和辅助信息θ，通过下式验证代理签名的有效性：

$e({\mathrm{\σ}}_3,g)=e(g_1,{\mathrm{pk}}_A)e(g_1,{\mathrm{pk}}_B)e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,\mathrm{\θ})e(v^{\′}\underset{j\∈M}{\mathrm{\Π}}{v}_j,{\mathrm{\σ}}_2)$

若成立，则说明签名验证者C和代理签名者B成功地向仲裁证明了代理签名的有效性；若不成立，说明签名验证者C与代理签名者B不能向仲裁证明代理签名的有效性，代理签名是无效的；

(8)授权撤销过程；

当原始签名者A需要撤销对代理签名者B的授权时，原始签名者A向安全中介SEM发送ω和R_A，并要求安全中介SEM将ω和R_A放入公开撤销列表。